Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю

В JavaScript-библиотеке xml-crypto, используемой в качестве зависимости у 402 проектов и загружаемой из каталога NPM около миллиона раз каждую неделю, выявлена уязвимость (CVE-2024-32962), которой присвоен максимальный уровень опасности (10 из 10). Библиотека предоставляет функции для шифрования и верификации по цифровой подписи XML-документов. Уязвимость даёт возможность атакующему заверить фиктивный документ, который в конфигурации по умолчанию будет успешно верифицирован библиотекой, несмотря на то, что он подписан не тем ключом, что указан для проверки подписей. Проблема проявляется начина с версии xml-crypto 4.0.0 и без лишней огласки устранена в январском выпуске 6.0.0. Уязвимость вызвана тем, что в конфигурации по умолчанию библиотека не авторизирует создателя … Читать далее Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю

Выпуск языка программирования Mojo 24.3

Опубликован выпуск инструментария языка программирования Mojo 24.3, позволяющего компилировать проекты на локальной системе. В состав включены компоненты, необходимые для разработки приложений на языке Mojo, включая компилятор, runtime, интерактивную REPL-оболочку для сборки и запуска программ, отладчик, дополнение к редактору кода Visual Studio Code (VS Code) с поддержкой автодополнения ввода, форматирования кода и подсветки синтаксиса, модуль для интеграции с Jupyter для сборки и запуска Mojo notebook. Исходные тексты стандартной библиотеки Mojo открыты под лицензией Apache 2.0 c исключениями от проекта LLVM, допускающими смешивание с кодом под лицензией GPLv2. Исходный код компилятора планируют открыть после завершения проектирования внутренней архитектуры. Одновременно сформирвоан выпуск движка … Читать далее Выпуск языка программирования Mojo 24.3

Обновление VirtualBox 7.0.18

Компания Oracle опубликовала корректирующий релиз системы виртуализации VirtualBox 7.0.18, в котором отмечено 3 исправления: Устранена ошибка в сетевых компонентах, из-за которой была опубликована рекомендация не устанавливать версию VirtualBox 7.0.16. Ошибка приводила к краху системы в хост-окружении при использовании виртуальных машин с настройками сетевых мостов или задействовании в VM сетевого адаптера, работающего только на стороне хоста (host-only network adapter). В дополнения для гостевых систем с Linux внесены исправления, устраняющие предупреждения UBSAN (Undefined Behavior Sanitizer). В дополнениях для гостевых систем с Linux решены проблемы, приводящие к отображению некорректного времени в примонтированных совместных папках (shared folder). Источник: http://www.opennet.ru/opennews/art.shtml?num=61110 Читать далее Обновление VirtualBox 7.0.18

Число дополнений для Android-версии Firefox превысило 1000

Компания Mozilla сообщила о преодолении рубежа в 1000 дополнений, доступных для Android-версии Firefox в каталоге AMO (addons.mozilla.org). В декабре 2023 года, после введения в строй инфраструктуры дополнений для Android-версии Firefox, в каталоге насчитывалось 489 дополнений. Менее чем за пять месяцев число дополнений, портированных для Android-версии Firefox, удвоилось. Разработчики дополнений, уже поставляемых для настольной версии Firefox, могут адаптировать свои продукты для работы в мобильной версии, переведя дополнение с модели постоянного фонового выполнения (extension.getBackgroundPage) на режим обработки событий (browser.runtime.onMessage.addListener), а также задействовав методы адаптивной компоновки элементов интерфейса. Источник: http://www.opennet.ru/opennews/art.shtml?num=61106 Читать далее Число дополнений для Android-версии Firefox превысило 1000

Выпуск Rust 1.78. Язык Borgo, сочетающий сильные стороны Go и Rust

Опубликован релиз языка программирования общего назначения Rust 1.78, основанного проектом Mozilla, но ныне развиваемого под покровительством независимой некоммерческой организации Rust Foundation. Язык сфокусирован на безопасной работе с памятью и предоставляет средства для достижения высокого параллелизма выполнения заданий, при этом обходясь без использования сборщика мусора и runtime (runtime сводится к базовой инициализации и сопровождению стандартной библиотеки). Методы работы с памятью в Rust избавляют разработчика от ошибок при манипулировании указателями и защищают от проблем, возникающих из-за низкоуровневой работы с памятью, таких как обращение к области памяти после её освобождения, разыменование нулевых указателей, выход за границы буфера и т.п. Для распространения библиотек, обеспечения … Читать далее Выпуск Rust 1.78. Язык Borgo, сочетающий сильные стороны Go и Rust

Компания Valve выпустила Proton 9.0, пакет для запуска Windows-игр в Linux

Компания Valve опубликовала стабильный релиз проекта Proton 9.0, основанного на кодовой базе проекта Wine и нацеленного на обеспечение запуска в Linux игровых приложений, созданных для Windows и представленных в каталоге Steam. Наработки проекта распространяются под лицензией BSD. Proton позволяет напрямую запускать в Linux-клиенте Steam игровые приложения, поставляемые только для Windows. Пакет включает в себя реализацию DirectX 9/10/11 (на базе пакета DXVK) и DirectX 12 (на базе vkd3d-proton), работающие через трансляцию вызовов DirectX в API Vulkan, предоставляет улучшенную поддержку игровых контроллеров и возможность использования полноэкранного режима независимо от поддерживаемых в играх разрешений экрана. Для увеличения производительности многопоточных игр поддерживаются механизмы «esync» … Читать далее Компания Valve выпустила Proton 9.0, пакет для запуска Windows-игр в Linux

Релиз дистрибутива Red Hat Enterprise Linux 9.4

Компания Red Hat опубликовала релиз дистрибутива Red Hat Enterprise Linux 9.4. Готовые установочные образы доступны для зарегистрированных пользователей Red Hat Customer Portal (для оценки функциональности также можно использовать iso-образы CentOS Stream 9 и бесплатные сборки RHEL для разработчиков). Выпуск сформирован для архитектур x86_64, s390x (IBM System z), ppc64le и Aarch64 (ARM64). Ветка RHEL 9 развивается с более открытым процессом разработки и использует в качестве основы пакетную базу CentOS Stream 9. CentOS Stream позиционируется как upstream-проект для RHEL, дающий возможность сторонним участникам контролировать подготовку пакетов для RHEL, предлагать свои изменения и влиять на принимаемые решения. В соответствии с 10-летним циклом поддержки … Читать далее Релиз дистрибутива Red Hat Enterprise Linux 9.4

Выпуск текстового редактора GNU nano 8.0

Состоялся релиз консольного текстового редактора GNU nano 8.0, предлагаемого в качестве редактора по умолчанию во многих пользовательских дистрибутивах, разработчики которых считают vim слишком сложным для освоения. В новом выпуске Добавлена опция командной строки «—modernbindings» («-/»), которая активирует альтернативный набор базовых горячих клавиш: ^Q — выход, ^X перенос в буфер обмена, ^C — копирование в буфер обмена, ^V — вставка из буфера обмена, ^Z — отмена операции, ^Y — отмена отмены (redo), ^O — открытие файла, ^W — запись в файл, ^R — замена, ^G — повтор поиска, ^D — повтор поиска в обратном направлении, ^A — установка метки, ^T — … Читать далее Выпуск текстового редактора GNU nano 8.0

Опубликована платформа OpenSilver 2.2, продолжающая развитие технологии Silverlight

Опубликован выпуск проекта OpenSilver 2.2, продолжающего развитие платформы Silverlight и позволяющего создавать интерактивные web-приложения при помощи технологий C#, F#, XAML и .NET. Скомпилированные при помощи OpenSilver приложения Silverlight могут работать в любых настольных и мобильных браузерах с поддержкой WebAssembly, но компиляция пока возможна только в Windows с использованием среды Visual Studio. Код проекта написан на языке C# и распространяется под лицензией MIT. В 2021 компания Microsoft прекратила разработку и сопровождение платформы Silverlight в пользу применения стандартных Web-технологий. Изначально проект OpenSilver был нацелен на предоставление инструментария для продления жизни существующих Silverlight-приложений в условиях отказа от сопровождения платформы компанией Microsoft и прекращения … Читать далее Опубликована платформа OpenSilver 2.2, продолжающая развитие технологии Silverlight

Доступна СУБД MySQL 8.4.0

Компания Oracle сформировала новую ветку СУБД MySQL 8.4 и опубликовала корректирующее обновление MySQL 8.0.37. Сборки MySQL Community Server 8.4.0 подготовлены для всех основных дистрибутивов Linux, FreeBSD, macOS и Windows. Выпуск 8.4.0 отнесён к веткам с длительным сроком поддержки (LTS), который выпускаются раз в два года и поддерживаются 5 лет (плюс можно получить ещё 3 года расширенной поддержки). MySQL 8.4.0 является четвёртым выпуском, сформированным в рамках новой модели формирования релизов, предусматривающей наличие двух типов веток MySQL — «Innovation» и «LTS». Ветки Innovation, к которым отнесены MySQL 8.1, 8.2 и 8.3, рекомендованы для тех, кто хочет раньше получать доступ к новой функциональности. … Читать далее Доступна СУБД MySQL 8.4.0

Выпуск OpenTofu 1.7, форка платформы управления конфигурацией Terraform

Представлен выпуск проекта OpenTofu 1.7, продолжающего развитие открытой кодовой базы платформы управления конфигурацией и автоматизации поддержания инфраструктуры Terraform. Разработка OpenTofu ведётся под покровительством организации Linux Foundation с использованием открытой модели управления при участии сообщества, сформированного из заинтересованных в проекте компаний и энтузиастов (о поддержке проекта объявили 161 компания и 792 индивидуальных разработчика). Код проекта написан на языке Go и распространяется под лицензией MPL 2.0. Форк создан в ответ на перевод компанией HashiCorp своих продуктов на проприетарную лицензию BSL 1.1, ограничивающую использование кода в облачных системах, конкурирующих с продуктами и сервисами HashiCorp. Cмена лицензии объясняется желанием сохранить финансирование своих разработок в … Читать далее Выпуск OpenTofu 1.7, форка платформы управления конфигурацией Terraform

Microsoft опубликовал открытый шрифт Cascadia Code 2404.23

Компания Microsoft представила новую версию открытого моноширинного шрифта Cascadia Code 2404.23, оптимизированного для использования в эмуляторах терминалов и редакторах кода. Шрифт примечателен поддержкой программируемых лигатур, позволяющих создавать новые глифы через комбинирование уже существующих символов. Подобные глифы поддерживаются в открытом редакторе Visual Studio Code и упрощают читаемость кода. Это первое обновление проекта за последние два с половиной года. Исходные компоненты шрифта распространяются под лицензией OFL 1.1 (Open Font License), позволяющей неограниченно модифицировать шрифт, использовать его в том числе для коммерческих целей, печати и на сайтах в Web. Для загрузки предложены файлы в формате TrueType (TTF). Из улучшений в новой версии отмечается … Читать далее Microsoft опубликовал открытый шрифт Cascadia Code 2404.23

Проект по производству открытого процессора, совместимого с Z80

После прекращения 15 апреля компанией Zilog производства 8-битных процессоров Z80, энтузиасты выступили с инициативой создания открытого клона данного процессора. Целью проекта является разработка замены процессорам Z80, которая будет взаимозаменяема с оригинальным CPU Zilog Z80, совместима с ним на уровне разводки выводов и способена использоваться в компьютере ZX Spectrum. Схемы, описания аппаратных блоков на языке Verilog и необходимая для производства документация распространяется под лицензией Apache 2.0. Производство первой пробной партии процессоров FOSS Z80 намечено на июнь 2024 года. При разработке чипа FOSS Z80 задействован фреймворк OpenROAD, развиваемый для автоматизации процесса разработки открытых микросхем, а также инструментарий Skywater PDK (Process Design Kit), … Читать далее Проект по производству открытого процессора, совместимого с Z80

Релиз мета-дистрибутива T2 SDE 24.5

Состоялся релиз мета-дистрибутива T2 SDE 24.5, предоставляющего окружение для формирования собственных дистрибутивов, кросс-компиляции и поддержания версий пакетов в актуальном состоянии. Дистрибутивы можно создавать на основе Linux, Minix, Hurd, OpenDarwin, Haiku и OpenBSD. Из популярных дистрибутивов, построенных на базе системы T2, можно отметить Puppy Linux. Проектом предоставляются базовые загрузочные iso-образы с минимальным графическим окружением в вариантах с библиотеками Musl, uClibc и Glibc. Для сборки доступны более 5000 пакетов. В выпуске обеспечена поддержка 25 аппаратных архитектур: Alpha, Arc, ARM(64), Avr32, HPPA(64), IA64, Loongarch64, M68k, Microblaze, MIPS(64), Nios2, OpenRISC, PowerPC(64), RISCV(64), s390x, SPARC(64), SuperH, i486, i686, x86-64 и x32, для которых сформировано 36 … Читать далее Релиз мета-дистрибутива T2 SDE 24.5

Уязвимость в реализации языка R, позволяющая выполнить код при десериализации файлов rds и rdx

В основной реализации языка программирования R, ориентированного на решение задач по статистической обработке, анализу и визуализации данных, выявлена критическая уязвимость (CVE-2024-27322), приводящая к выполнению кода при выполнении десериализации непроверенных данных. Уязвимость может быть эксплуатирована при обработке специально оформленных файлов в форматах RDS (R Data Serialization) и RDX. Уязвимость вызвана ошибкой в функции readRDS, испольщуемой для загрузки файлов в форматах RDS и RDX, которые позволяют передавать сериализированные объекты R для обработки на другой системе. Сериализация даёт возможность зафиксировать состояние и обмениваться наборами данных между программами. Формат RDS позволяет хранить состояние об одном обхекте, а формат RDX в сочетании с файлами RDB … Читать далее Уязвимость в реализации языка R, позволяющая выполнить код при десериализации файлов rds и rdx

Волна увольнений в Google, затронувшая команды Flutter, Dart и Python Teams

Компания Google увольняет часть сотрудников, вовлечённых в проекты Flutter и Dart, а также команду, занимающуюся разработками, связанными с языком программирования Python. В качестве основного мотива сокращения персонала упоминается реорганизация, вызванная оптимизацией процессов, перераспределением обязанностей, а также избавлением от бюрократии и лишних звеньев. Увольнение всей Python-команды объясняется заменой старой команды на другую, территориально находящуюся в Мюнхене. Ожидается, что перенос связанной с Python работы из США в Германию позволит сократить расходы на разработку за счёт найма менее дорогой рабочей силы. Американская команда Python в Google насчитывала менее 10 разработчиков и занималась управлением связанной с языком Python экосистемы в Google, обеспечением стабильности Python, … Читать далее Волна увольнений в Google, затронувшая команды Flutter, Dart и Python Teams

Обновление Firefox 125.0.3

Доступен корректирующий выпуск Firefox 125.0.3, в котором исправлено несколько проблем: Устранена ошибка, из-за которой после обновления до Firefox 125 у некоторых пользователей периодически самопроизвольно стали открываться новые вкладки с URL «https://0.0.0.1» в адресной строке. Эффект проявлялся только на платформе Windows. Разбор ситуации показал, что вкладки возникают при попытке запуска ещё одной копии Firefox из командной строки, когда Firefox уже запущен. Пользователям, которые столкнулись с данной проблемой, если они сами не запускали новых копий Firefox, рекомендуется проверить свои системы антивирусным ПО, так как подобная активность может быть следствием работы вредоносных программ. Появление вкладки с адресом «https://0.0.0.1» вызвано ошибкой в обработчике «Application … Читать далее Обновление Firefox 125.0.3

Релиз десктоп-окружения Trinity R14.1.2, продолжающего развитие KDE 3.5

Опубликован релиз десктоп-окружения Trinity R14.1.2, продолжающего развитие кодовой базы KDE 3.5.x и Qt 3. Бинарные пакеты в ближайшее время будут подготовлены для Ubuntu, Debian, RHEL/CentOS, Fedora, openSUSE и других дистрибутивов. Из особенностей Trinity можно отметить собственные средства для управления параметрами экрана, основанная на udev прослойка для работы с оборудованием, новый интерфейс для настройки оборудования, переход на композитный менеджер Compton-TDE (форк Compton с расширениями TDE), улучшенный конфигуратор сети и механизмы аутентификации пользователей. Окружение Trinity может быть установлено и использовано одновременно с более актуальными выпусками KDE, в том числе предоставлена возможность использования в Trinity уже установленных в системе KDE-приложений. Также присутствуют средства … Читать далее Релиз десктоп-окружения Trinity R14.1.2, продолжающего развитие KDE 3.5

Леннарт Поттеринг представил run0, замену sudo, интегрированную в systemd

Леннарт Поттеринг представил утилиту run0, позволяющую выполнять процессы под идентификаторами других пользователей. Новая утилита позиционируется как более безопасная замена программы sudo, реализованная в форме надстройки над командой systemd-run и позволяющая избавиться от применения исполняемого файла с флагом SUID. Утилита run0 включена в состав выпуска systemd 256, который находится на стадии кандидата в релизы. Отмечается, что смена идентификатора при помощи флага SUID в sudo сопряжена с дополнительными рисками, связанными с тем, что SUID-процесс наследует контекст исполнения, включающий множество свойств, контролируемых непривилегированным пользователей, таких как переменные окружения, файловые дескрипторы, параметры планировщика и привязки cgroup. Часть из подобных свойств автоматически очищается для SUID-процессов … Читать далее Леннарт Поттеринг представил run0, замену sudo, интегрированную в systemd

Выпуск видеоредактора Shotcut 24.04

Доступен релиз видеоредактора Shotcut 24.04, который развивается автором проекта MLT и использует данный фреймворк для организации редактирования видео. Поддержка форматов видео и звука реализована через FFmpeg. Возможно использование плагинов с реализацией видео и аудио эффектов, совместимых с Frei0r и LADSPA. Из особенностей Shotcut можно отметить возможность многотрекового редактирования с компоновкой видео из фрагментов в различных исходных форматах, без необходимости их предварительного импортирования или перекодирования. Имеются встроенные средства для создания скринкастов, обработки изображения с web-камеры и приёма потокового видео. Для построения интерфейса применяется Qt. Код написан на C++ и распространяется под лицензией GPLv3. Готовые сборки доступны для Linux (AppImage, flatpak и … Читать далее Выпуск видеоредактора Shotcut 24.04

Выпуск дистрибутива OpenIndiana 2024.04, продолжающего развитие OpenSolaris

Представлен релиз свободного дистрибутива OpenIndiana 2024.04, пришедшего на смену бинарному дистрибутиву OpenSolaris, развитие которого было прекращено компанией Oracle. OpenIndiana предоставляет пользователю рабочее окружение, построенное на базе свежего среза кодовой базы проекта Illumos. Непосредственно разработка технологий OpenSolaris продолжается проектом Illumos, в котором развивается ядро, сетевой стек, файловые системы, драйверы, а также базовый набор пользовательских системных утилит и библиотек. Для загрузки сформировано три вида iso-образов — серверная редакция с консольными приложениями (970 МБ), минимальная сборка (470 МБ) и сборка с графическим окружением MATE (1.9 ГБ). Основные изменения в OpenIndiana 2024.04: Обновлено примерно 1230 пакетов, среди которых около 900 пакетов, связанных с языком … Читать далее Выпуск дистрибутива OpenIndiana 2024.04, продолжающего развитие OpenSolaris